Os direitos de utilizador concedem privilégios específicos e direitos de início de sessão a utilizadores e grupos no ambiente informático. Os administradores podem atribuir direitos específicos a contas de grupos ou de utilizadores individuais. Estes direitos autorizam os utilizadores a efectuar acções específicas, tal como iniciar sessão num sistema de forma interactiva ou fazer cópias de segurança de ficheiros e directórios.
Para facilitar a tarefa de administração da conta de utilizador, deve atribuir privilégios principalmente a contas de grupo, em vez de contas de utilizador individuais. Quando atribui privilégios a uma conta de grupo, esses privilégios são automaticamente atribuídos aos utilizadores quando se tornam membros desse grupo. Este método de administração de privilégios é bem mais fácil do que a atribuição de privilégios individuais a cada conta de utilizador quando a conta é criada.
A tabela seguinte lista e descreve os privilégios que podem ser concedidos a um utilizador.
| Privilégio | Descrição | Predefinição |
|---|---|---|
|
Actuar como parte do sistema operativo |
Permite que um processo possa representar qualquer utilizador sem autenticação. Por conseguinte, o processo pode obter acesso aos mesmos recursos locais que o utilizador. Os processos que requerem este privilégio devem utilizar a Conta do Sistema Local, que já inclui este privilégio, em vez de utilizar uma conta de utilizador autónoma com este privilégio especificamente atribuído. Só será necessário atribuir este privilégio a utilizadores se a sua organização utilizar servidores com o Windows 2000 ou Windows NT 4.0 e utilizar aplicações que trocam palavras-passe em texto não encriptado. |
Sistema Local |
|
Adicionar estações de trabalho a um domínio |
Determina que grupos ou utilizadores podem adicionar estações de trabalho a um domínio. Este direito de utilizador só é válido em controladores de domínio. Por predefinição, qualquer utilizador autenticado tem este direito e pode criar até 10 contas de computador no domínio. Ao adicionar uma conta de computador ao domínio permite que o computador reconheça contas e grupos que existem nos Serviços de Domínio do Active Directory (AD DS). |
Controladores de domínio: Utilizadores Autenticados |
|
Ajustar quotas de memória para um processo |
Determina quem pode alterar a memória máxima que pode ser consumida por um processo. Este direito de utilizador é definido no objecto de Política de Grupo (GPO) do Controlador de Domínio Predefinido e na política de segurança local de estações de trabalho e servidores. |
Administradores |
|
Fazer cópias de segurança de ficheiros e directórios |
Determina que utilizadores podem ignorar permissões de ficheiro e directório, registo e outras permissões de objecto persistentes para efeitos de cópia de segurança do sistema. |
Administradores e Operadores de Cópia de Segurança |
|
Ignorar verificação transversal |
Determina que utilizadores podem atravessar árvores de directório, mesmo que o utilizador não tenha permissões para o directório atravessado. Este privilégio não permite que o utilizador liste o conteúdo de um directório, apenas permite atravessar directórios. Este direito de utilizador é definido no GPO do Controlador de Domínio Predefinido e na política de segurança local das estações de trabalho e servidores. |
Estações de trabalho e servidores: Administradores, Operadores de Cópia de Segurança, Utilizadores Avançados, Utilizadores e Todos Controladores de domínio: Administradores e Utilizadores Autenticados |
|
Alterar hora do sistema |
Determina que utilizadores e grupos podem alterar a hora e a data no relógio interno do computador. Os utilizadores aos quais é atribuído este direito de utilizador podem afectar o aspecto dos registos de eventos. Se a hora do sistema for alterada, os eventos registados irão reflectir esta nova hora, não a hora real de ocorrência dos eventos. Este direito de utilizador é definido no GPO do Controlador de Domínio Predefinido e na política de segurança local das estações de trabalho e servidores. |
Estações de trabalho e servidores: Administradores e Utilizadores Avançados Controladores de domínio: Administradores e Operadores de Servidor |
|
Criar um ficheiro de paginação |
Permite que o utilizador crie e altere o tamanho do ficheiro de paginação. Este procedimento é efectuado especificando um tamanho de ficheiro de paginação para uma unidade específica em Opções de Desempenho no separador Avançadas de Propriedades do Sistema. |
Administradores |
|
Criar um objecto token |
Permite a um processo criar um token que pode ser utilizado para obter acesso a quaisquer recursos locais quando o processo utiliza NtCreateToken() ou outras APIs de criação de tokens. Os processos que requerem este privilégio devem utilizar a Conta do Sistema Local, que já inclui este privilégio, em vez de utilizar uma conta de utilizador autónoma com este privilégio especificamente atribuído. |
Nenhum |
|
Criar objectos globais |
Determina que contas podem criar objectos globais numa sessão de Serviços de Terminal ou Serviços de Ambiente de Trabalho Remoto. |
Administradores e Sistema Local |
|
Criar objectos partilhados permanentes |
Permite que um processo crie um objecto de directório no gestor de objectos do sistema operativo. Este privilégio é útil para componentes em modo de kernel que expandam o espaço de nomes de objecto. Os componentes que estejam a ser executados em modo de kernel já têm este privilégio por inerência; não é necessário atribuí-lo. |
Nenhum |
|
Depurar programas |
Determina que utilizadores podem anexar um depurador a qualquer processo ou ao kernel. Não é necessário atribuir este direito de utilizador aos programadores que estejam a depurar as suas próprias aplicações. Os programadores que estejam a depurar novos componentes de sistema irão necessitar deste direito de utilizador. Este direito de utilizador fornece acesso completo a componentes do sistema operativo sensíveis e críticos. |
Administradores e Sistema Local |
|
Confiar nas contas de computador e utilizador para efeitos de delegação |
Determina que utilizadores podem configurar a definição Fidedigno para Delegação num utilizador ou objecto de computador. O utilizador ou objecto ao qual é concedido este privilégio tem de ter acesso de escrita aos sinalizadores de controlo de conta no utilizador ou objecto de computador. Um processo de servidor em execução num computador (ou sob um contexto de utilizador) que seja considerado fidedigno para delegação poderá aceder a recursos noutro computador utilizando as credenciais delegadas de um cliente, desde que a conta de cliente não tenha definido o sinalizador de controlo de conta Não é possível delegar conta. Este direito de utilizador é definido no GPO do Controlador de Domínio Predefinido e na política de segurança local das estações de trabalho e servidores. |
Controladores de domínio: Administradores |
|
Forçar encerramento a partir de um sistema remoto |
Determina a que utilizadores é permitido encerrar um computador a partir de uma localização remota na rede. A utilização indevida deste direito de utilizador pode resultar num denial of service. Este direito de utilizador é definido no GPO do Controlador de Domínio Predefinido e na política de segurança local das estações de trabalho e servidores. |
Estações de trabalho e servidores: Administradores Controladores de domínio: Administradores e Operadores de Servidor |
|
Gerar auditorias de segurança |
Determina que contas podem ser utilizadas por um processo para adicionar entradas ao registo de segurança. O registo de segurança é utilizado para rastrear acesso não autorizado ao sistema. A utilização indevida deste direito de utilizador poderá resultar na geração de muitos eventos de auditoria, ocultando potencialmente provas de um ataque ou provocando um ataque denial of service se a definição de política de segurança Auditoria: Encerrar o sistema imediatamente se não for possível registar auditorias de segurança estiver activada. Para mais informações, consulte |
Sistema Local |
|
Representar um cliente após autenticação |
Determina que contas têm permissão para representar outras contas. |
Administradores e Serviço |
|
Aumentar prioridade de agendamento |
Determina que contas podem ser utilizadas por um processo com acesso Propriedade de Escrita a outro processo para aumentar a prioridade de execução atribuída ao outro processo. Um utilizador com este privilégio pode alterar a prioridade de agendamento de um processo através da interface de utilizador Gestor de Tarefas. |
Administradores |
|
Carregar e descarregar controladores de dispositivos |
Determina que utilizadores podem carregar ou descarregar dinamicamente controladores de dispositivos ou outro código no modo de kernel. Este direito de utilizador não se aplica aos controladores de dispositivos Plug and Play. Como os controladores de dispositivos são executados como programas fidedignos (ou altamente privilegiados), não deve atribuir este privilégio a outros utilizadores. Em vez disso, utilize a API StartService(). |
Administradores |
|
Bloquear páginas na memória |
Determina que contas podem utilizar um processo para manter dados na memória física, o que impede o sistema de paginar os dados para a memória virtual no disco. O exercício deste privilégio pode afectar significativamente o desempenho do sistema ao diminuir a quantidade de RAM (random access memory) disponível. |
Nenhum; determinados processos de sistema têm o privilégio por inerência |
|
Gerir registo de auditoria e segurança |
Determina que utilizadores podem especificar opções de auditoria de acesso de objecto para recursos individuais, tais como ficheiros, objectos de Active Directory e chaves de registo. Esta definição de segurança não permite que um utilizador active a auditoria de acesso a objectos e ficheiros. Para possibilitar a activação da auditoria, tem de configurar a definição Auditar acesso a objectos em Configuração do Computador\Definições do Windows\Definições de Segurança\Políticas Locais\Políticas de Auditoria. Para mais informações, consulte É possível ver eventos auditados no Registo de Segurança do Visualizador de Eventos. Um utilizador com este privilégio também pode ver e limpar o Registo de Segurança. |
Administradores |
|
Modificar valores de ambiente de firmware |
Determina quem pode modificar valores de ambiente de firmware. As variáveis de ambiente de firmware são definições armazenadas na RAM não volátil de computadores não baseados em x86. O efeito da definição depende do processador.
|
Administradores e Sistema Local |
|
Criar perfil de processo único |
Determina que utilizadores podem utilizar ferramentas de monitorização de desempenho para monitorizar o desempenho de processos sem ser do sistema. |
Administradores, Utilizadores Avançados e Sistema Local |
|
Criar perfil de desempenho do sistema |
Determina que utilizadores podem utilizar ferramentas de monitorização de desempenho para monitorizar o desempenho de processos do sistema. |
Administradores e Sistema Local |
|
Remover computador da estação de ancoragem |
Determina se um utilizador pode desancorar um computador portátil da estação de ancoragem sem iniciar sessão. Se esta política estiver activada, o utilizador tem de iniciar sessão antes de remover o computador portátil da estação de ancoragem. Se esta política estiver desactivada, o utilizador pode remover o computador portátil da estação de ancoragem sem iniciar sessão. |
Desactivada |
|
Substituir um token de nível de processo |
Determina que contas de utilizador podem iniciar um processo para substituir o token predefinido associado a um subprocesso iniciado. Este direito de utilizador é definido no GPO do Controlador de Domínio Predefinido e na política de segurança local das estações de trabalho e servidores. |
Serviço Local e Serviço de Rede |
|
Restaurar ficheiros e directórios |
Determina que utilizadores podem ignorar permissões de ficheiro, directório, registo e outras permissões de objecto persistentes ao restaurar ficheiros e directórios de cópia de segurança e determina que utilizadores podem definir um principal de segurança válido como o proprietário de um objecto. Especificamente, este direito de utilizador é semelhante à concessão das seguintes permissões ao utilizador ou grupo em questão, para todos os ficheiros e pastas do sistema:
| Estações de trabalho e servidores: Administradores e Operadores de Cópia de Segurança Controladores de domínio: Administradores, Operadores de Cópia de Segurança e Operadores de Servidor |
|
Encerrar o sistema |
determina que utilizadores que tenham iniciado sessão local no computador podem encerrar o sistema operativo utilizando o comando Encerrar. A utilização indevida deste direito de utilizador pode resultar num denial of service. | Estações de trabalho: Administradores, Operadores de Cópia de Segurança, Utilizadores Avançados e Utilizadores Servidores: Administradores, Operadores de Cópia de Segurança e Utilizadores Avançados Controladores de domínio: Operadores de Conta, Administradores, Operadores de Cópia de Segurança, Operadores de Servidor e Operadores de Impressão |
|
Sincronizar dados do serviço de directório |
Determina que utilizadores e grupos têm a autoridade para sincronizar todos os dados do serviço de directório. Também é conhecida como sincronização do Active Directory. |
Nenhum |
|
Obter propriedade de ficheiros ou outros objectos |
Determina que utilizadores podem obter propriedades de qualquer objecto passível de protecção no sistema, incluindo objectos, ficheiros e pastas do Active Directory, impressoras, chaves de registo, processos e threads. | Administradores |
Alguns privilégios podem substituir as permissões definidas num objecto. Por exemplo, um utilizador que iniciou sessão numa conta de domínio como membro do grupo Operadores de Cópia de Segurança tem o direito de executar operações de cópia de segurança para todos os servidores de domínio. No entanto, isto requer a capacidade de ler todos os ficheiros nesses servidores, mesmo ficheiros cujos proprietários definiram permissões que negam explicitamente acesso a todos os utilizadores, incluindo membros do grupo Operadores de Cópia de Segurança. Um direito de utilizador, neste caso, o direito de executar uma cópia de segurança, tem precedência sobre todas as permissões de ficheiro e directório. Para mais informações, consulte
 | Nota |
Numa linha de comandos, pode escrever whoami /priv para ver os seus privilégios. |